Web-Skimmer / E-Skimming
Was ist Web-Skimmer / E-Skimming?
Web-Skimmer / E-SkimmingIn eine Website eingeschleuster Schadcode, der Zahlungs- oder persoenliche Daten stiehlt, waehrend Kunden sie in die Seite eintippen.
Ein Web-Skimmer (auch E-Skimmer oder digitaler Skimmer) ist der JavaScript- oder serverseitige Code, der den Diebstahl bei Magecart-Angriffen ausfuehrt. Er lebt im Checkout-Flow eines Onlineshops und liest Kartennummern, CVVs, Ablaufdaten und persoenliche Daten direkt aus dem DOM oder aus Netzwerkanfragen, bevor er sie an einen Drop-Server exfiltriert. Skimmer kommen ueber CMS-Schwachstellen, kompromittierte Third-Party-Skripte, vergessene S3-Buckets oder gestohlene Admin-Zugaenge ins System. Manche verstecken sich in gefaelschten Favicons oder steganographischen Bildern. Schutz: CSP mit Reporting, Subresource Integrity, das von PCI DSS v4.0 verlangte Skript-Integritaets-Monitoring sowie strenge Rechte auf Script-Tags und Tag-Manager.
● Beispiele
- 01
Ein obfuskiertes Skript in einer Magento-Vorlage erntet CVVs und schickt sie an eine typosquatted CDN-Domain.
- 02
Ein in einem gefaelschten Favicon versteckter Skimmer feuerte nur auf der Checkout-Seite eines Shopify-Shops.
● Häufige Fragen
Was ist Web-Skimmer / E-Skimming?
In eine Website eingeschleuster Schadcode, der Zahlungs- oder persoenliche Daten stiehlt, waehrend Kunden sie in die Seite eintippen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Web-Skimmer / E-Skimming?
In eine Website eingeschleuster Schadcode, der Zahlungs- oder persoenliche Daten stiehlt, waehrend Kunden sie in die Seite eintippen.
Wie schützt man sich gegen Web-Skimmer / E-Skimming?
Schutzmaßnahmen gegen Web-Skimmer / E-Skimming kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Web-Skimmer / E-Skimming?
Übliche alternative Bezeichnungen: E-Skimmer, Digitaler Skimmer, JS-Sniffer.